Protection des données : comment être en conformité RGPD

conformité RGPD

Se conformer au règlement européen RGPD ou au Règlement Général de la Protection des Données ne devrait pas constituer un poids énorme pour les entreprises. En effet, c’est un moyen de maîtriser les services numériques au sein de l’entité. Cette pratique assure également la sécurité des données personnelles des administrés. Plusieurs étapes sont nécessaires à la mise en conformité RGPD. Ces dernières ne sont pas des actions ponctuelles. Au contraire, elles doivent s’étaler dans le temps de façon continue et active pour maintenir la protection des données.

Effectuer un recensement des traitements de données

Le règlement européen, pour la protection des données, exige que le pilote ou DPO de l’entreprise tienne un registre. Ce dernier doit contenir une liste des traitements des données entre les mains de l’entité. Ce procédé permet à quiconque consultant la liste d’avoir une appréhension globale et une vue d’ensemble sur les activités de l’entreprise qui impliquent la collecte et le traitement de données personnelles. Ces dispositions visent à préserver la confidentialité des données. Le registre tenu par le pilote interne sensibilise les services aux portées de la protection des données. Ainsi, ce registre doit contenir :

Les informations concernant le responsable du traitement, de son représentant en cas d’absence et du DPO. Il s’agit notamment de leurs noms et de leurs coordonnées.

Les types de données exploitées et la catégorie des personnes concernées

Les finalités à atteindre pour les traitements des informations, par exemple, la tenue des fiches de paie.

Les dispositions mises en place pour la sécurité des données comme les politiques de mots de passe

L’intervalle de temps au cours duquel les données seront conservées

L’énumération exhaustive des personnes ayant accès à la base d’informations. Pour illustrer, le service RH de l’entreprise pourrait avoir accès aux données relatives à l’établissement des fiches de paie.

Le registre se doit d’être à jour et complet. Pour plus d’infos, voir sur rgpd-express.com. Par conséquent, les responsables du traitement contactent régulièrement les personnes au sein de l’entité qui traitent les données.

Le tri des données, pour quoi faire ?

Une protection des données efficace provient d’abord de la collecte des données pertinentes. Afin de veiller à cette pertinence, il est impératif de trier les données dans la base de l’entreprise. Cela suit rigoureusement les principes de pertinence et de minimisation de données. En effet, la sécurité des données devient facile à maintenir si l’entité se conforme aux principes RGPD. Le tri permet en outre de vérifier la nature des données traitées. Les mesures de sécurité ne sont pas standards. Elles dépendent de la nature des données traitées. Les risques sont également spécifiques pour chaque nature.

L’évaluation des risques est en corrélation avec les dispositifs de sécurité des données à mettre en place. Par ailleurs, le DPO doit déclarer les dispositifs employés. Il est juridiquement obligé de documenter ses procédés de protection des données et les moyens utilisés pour sauvegarder la confidentialité des données. En plus, trier les données, conformément au règlement européen, donne la possibilité de restreindre les accès comme il se doit. Seules les personnes habilitées devront consulter des informations d’une nature bien déterminée. Enfin, le tri vérifie que les données ne sont pas conservées et utilisées au-delà de la durée prescrite.

Le respect des droits des administrés pour la conformité RGPD

La CNIL, ou Commission Nationale de l’Informatique et des Libertés, a reçu des plaintes de façon accrue. La majorité des dépositions concerne les droits non respectés des personnes administrées pour la sécurité des données. Ces dernières devraient être informées des modalités de traitement de leurs données. Leurs consentements devraient être recueillis. Les administrés ont le droit de connaître ce qui autorise l’entreprise à collecter leur information personnelle et toute autre personne qui y auront accès. Les droits des administrés selon le règlement européen sont :

Le droit de rectification : l’individu peut à tout moment modifier les informations détenues sur lui.

Le droit d’accès : les données doivent être consultables par les individus concernés.

Le droit d’effacement : l’individu possède le pouvoir de protection des données en demandant la suppression de ses informations personnelles.

Le droit à la probabilité : l’individu peut récupérer dans un document lisible sur machine les études faites à partir de ses données.

Le droit d’opposition : l’individu décline l’utilisation des informations détenues lui concernant.

Le droit à la limitation : l’individu pose une requête pour geler une partie des informations sur elle. Les données gelées ne sont pas utilisables par l’entreprise.

Ces droits sont sujets à des exceptions d’application selon le contexte juridique du traitement des données. Le respect des droits des administrés concerne plus précisément la mise en conformité RGPD pour éviter la violation de la confidentialité des données.

Conformité RGPD : comment recueillir le consentement des personnes sur un site web ?
Que change concrètement le RGPD pour l’internaute ?